前言
2022年1月,国务院印发《“十四五”数字经济发展规划》(以下简称“规划”),明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。规划指出,数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。
业务伴生风险。数据要素是数字经济深化发展的核心引擎,数据对提高生产效率的乘数作用不断凸显,成为最具时代特征的生产要素,数据的爆发增长、海量集聚蕴藏了巨大价值,数据的开发利用为经济社会发展提供了强大动力。安全是发展的前提,传统业务需求侧重于“希望发生什么”,而安全需求侧重于“不希望发生什么”,从而“确保发生什么”。因此,凡是有数据开发利用的场景,总会伴生着数据安全风险,都会产生数据安全需求。
风险驱动密码。数字时代呼唤安全创新,密码是国之重器,是数字技术发展的安全基因,是保障网络与数据安全的核心技术,也是推动我国数字经济高质量发展、构建网络强国的基础支撑。从实战需求看,日趋严峻的网络与数据安全威胁使得数字经济迫切需要密码技术这个“压舱石”,以有效抵御外部黑客攻击、防止内部人员泄露。从合规需求看,以密码应用安全性评估为抓手落实《密码法》,并结合《网络安全法》《数据安全法》《个人信息保护法》等法律法规,也在持续拉动密码应用新需求。实战与合规叠加的需求成为安全产业发展的关键动力,推动新密码市场加速形成。
密码融入业务。密码作为直接作用于数据的安全技术,只有融入数据处理流程才能有效防范业务风险。从技术路线上,传统“外挂式”密码产品采用开发改造应用的模式门槛高、周期长、风险大,用户面临“难用、难管”等挑战。“面向切面安全”等新模式提出“内嵌式”密码技术创新,将安全与业务在技术上解耦、但又在能力上融合交织,提供轻量级改造应用的实施模式,有效防护企业应用与数据,让密码“好用、好管”。
本白皮书以“用密”为主线展开介绍密码技术、产品、服务、集成、合规等密码相关知识,希望为需求和供给两侧从业者提供密码应用参考手册。作为重点部分,从业务视角归纳了20种密码应用模式,尝试在保密性、完整性、真实性、不可否认性等的基础上,从数据开发利用场景提炼更直观的密码使用方案。进一步的,对全面开展中的密评工作,梳理了典型的密评改造技术方案,为密评工作者提供参考。
由于编者水平有限,时间仓促,白皮书中不妥和错漏之处在所难免,敬请各位读者批评指正和提出宝贵意见。在此也欢迎业界专家和同仁拨冗参与本白皮书下一版本改进完善,共同为密码技术应用推广贡献力量!
本白皮书编写过程中获得了腾讯云鼎实验室等众多专家和机构的指导与帮助,在此特别致谢。
本文约5万字,预计阅读时间 30 分钟。
注1:欢迎业界同仁反馈改进、共同完善、交流合作,信息反馈请发送邮件至:
support@ciphergateway.com。
注2:本公众号文章由于微信后台排版5万字限制,只展示部分内容,请关注后下载完整17万字白皮书原文。
声明:北京炼石网络技术有限公司对本技术报告内容及相关产品信息拥有受法律保护的著作权,未经授权许可,任何人不得将报告的全部或部分内容以转让、出售等方式用于商业目的使用。转载、摘编使用本报告文字或者观点的应注明来源。报告中所载的材料和信息,包括但不限于文本、图片、数据、观点、建议等各种形式,不能替代律师出具的法律意见。违反上述声明者,本公司将追究其相关法律责任。报告撰写过程中,为便于技术说明和涵义解释,引用了一系列的参考文献,内容如有侵权,请联系本公司修改或删除。
目录
一. 数字经济伴生安全风险
1.1. 数字经济定位为主要经济形态
1.2. 数据资源已成为关键生产要素
1.3. 数据处理伴生着安全威胁风险
1.3.1. 数据收集风险
1.3.2. 数据存储风险
1.3.3. 数据使用风险
1.3.4. 数据加工风险
1.3.5. 数据传输风险
1.3.6. 数据提供风险
1.3.7. 数据公开风险
二. 密码产业护航数字经济
2.1. 数字经济呼唤创新密码应用
2.1.1. 密码技术是数字安全压舱石
2.1.2. 实战合规是密码建设指南针
2.1.3. 密码创新是数字安全领头雁
2.2. 密码产业进入黄金发展时代
2.2.1. 顶层战略引导数字经济安全建设
2.2.2. 国家法律加速密码应用推广普及
2.2.3. 行业地区出台密码技术应用要求
2.3. 密码技术筑牢数字安全屏障
2.3.1. 密码技术进步促进应用融合
2.3.2. 信息技术升级促进产品演进
2.3.3. 攻防演练对抗促进实战发展
2.3.4. 数据要素市场促进密码创新
2.4. 业务视角归纳密码应用模式
(一) 身份鉴别及密钥管理
2.4.1. PKI信任体系
2.4.2. IBC信任体系
2.4.3. 预共享密钥的身份鉴别
2.4.4. 基于数字签名的身份鉴别
(二) 数据传输(通信安全)
2.4.5. 离线通信消息加密
2.4.6. 代理重加密受控分发消息
2.4.7. 在线通信消息加密
2.4.8. 可感知窃听的专线通信
(三) 数据存储(数据资产安全)
2.4.9. 应用内数据加密
2.4.10. 数据库存储加密
2.4.11. 文件存储加密
(四) 数据使用(数据共享与安全兼得)
2.4.12. 基于差分隐私的数据匿名化
2.4.13. 基于属性加密的访问控制
2.4.14. 锚点解密的防绕过数据安全
2.4.15. 不可信环境中的数据运算
2.4.16. 可验证结果的计算外包
2.4.17. 封装业务逻辑的可信运算环境
2.4.18. 基于密码的数字水印追溯
2.4.19. 基于密码校验的防篡改
2.4.20. 基于私钥签名的责任认定
三. 密码技术集聚创新原力
3.1. 基础算力类
3.1.1. 密码卡
3.1.2. 密码套件
3.1.3. 智能密码钥匙
3.1.4. 服务器密码机
3.1.5. 签名验签服务器
3.2. 应用场景类
3.2.1. 数字证书认证系统
3.2.2. CASB业务数据加密平台
3.2.3. 金融数据密码机
3.2.4. VPN虚拟私有网络
3.2.5. 电子签章系统
3.2.6. 身份鉴别系统
3.3. 管理支撑类
3.3.1. 密钥管理系统
四. 密码能力融入业务流程
4.1. 数据安全本质是对数据重建访问规则
4.2. 安全技术从基础设施演进到业务应用
4.3. 密码安全融合打造面向业务实战防护
五. 密评合规重构安全防护
5.1. 密码应用典型性问题分析
5.1.1. 密码应用不广泛
5.1.2. 密码应用不规范
5.1.3. 密码应用不安全
5.2. 密评为密码合规提供基线
5.2.1. 密评发展历程
5.2.2. 密评开展依据
5.2.3. 密评适用对象
5.2.4. 密评政策法规
5.2.5. 密评遵循标准
5.2.6. 密评核心内容
5.2.7. 密评等保关系
5.2.8. 密评机构名单
5.3. 密码应用安全性评估标准
5.3.1. 密评测评要求
5.3.2. 密评测评过程
5.3.3. 密评高风险项
5.3.4. 密评评分规则
5.3.5. 密评测评结论
5.4. 密评改造专业化技术方案
5.4.1. 密改总体框架
5.4.2. 密改技术方案
5.4.3. 密钥管理方案
5.4.4. 安全管理方案
5.4.5. 安全合规分析
5.4.6. 密改方案效果
5.4.7. 密改设备清单
六. 附录
6.1. 密码基本知识
6.1.1. 密码算法
6.1.2. 密码协议
6.1.3. 密码认证
6.1.4. 密钥管理
6.1.5. 密码价值
6.2. 密码相关标准
6.2.1. 国家标准
6.2.2. 行业标准
一、数字经济伴生安全风险
1.1. 数字经济定位为主要经济形态
2022年1月12日,国务院印发的《“十四五”数字经济发展规划》中明确指出:数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。
数据作为一种新型生产要素较早被写入到国家顶层规划中,体现了互联网大数据时代的新特征。当前数字经济正在引领新经济发展,数字经济覆盖面广且渗透力强,与各行业融合发展,并在社会治理中如城市交通、老年服务、城市安全等方面发挥重要作用。而数据作为基础性资源和战略性资源,是数字经济高速发展的基石,也将成为“新基建”最重要的生产资料。数据要素的高效配置,是推动数字经济发展的关键一环。加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护,使大数据成为推动经济高质量发展的新动能,对全面释放数字红利、构建以数据为关键要素的数字经济具有战略意义。
1.2. 数据资源已成为关键生产要素
在数据时代,以大数据为代表的信息资源向生产要素形态演进,数据已同其他要素一起融入经济价值创造过程。与其他资源要素相比,数据资源要素具有如下特征:一是数据体量巨大。且历史数据量不断累积增加,通过流转和共享对社会发展产生重要价值,基于数据创新的商业模式或应用不断演进。二是数据类型复杂。不仅包含各种复杂的结构化数据,而且图片、指纹、声纹等非结构化数据日益增多;三是数据处理快,时效性要求高。通过算法对数据的逻辑处理速度非常快,区别于传统数据挖掘,大数据处理技术遵循“一秒定律”,可以从各种类型的数据中快速获得高价值的信息。四是数据价值密度低。数据价值的高度与精确性、信噪比有关,在海量数据面前有价值的数据所占比例很小。在获取高价值数据的过程中,往往需要借助数据挖掘等方法深度分析海量数据,从中提取出对未来趋势与模式预测分析有价值的数据。
基于以上四个特性分析,数据在参与经济建设、社会治理、生活服务时,具有重要意义。一是数据作为一种生产性投入方式,可以大大提高生产效率,是新时期我国经济增长的重要源泉之一。二是推动数据发展和应用,可以鼓励产业创新发展,推动数据与科研创新的有机结合,推进基础研究和核心技术攻关,形成数据产业体系,完善数据产业链,使得大数据更好地服务国家发展战略。三是数据安全是数据应用的基础。保护个人隐私、企业商业秘密、国家秘密等。在加强安全管理的同时,又鼓励合规应用,促进创新和数字经济发展,实现公共利益最大化。从合规要求看,数据安全成为国家顶层设计,相关法律政策明确提出加强网络安全、数据安全和个人信息保护,数据安全产业迎来前所未有的历史发展机遇。最终用户对于主动化、自动化、智能化、服务化、实战化的安全需求进一步提升,在此需求推动下,数据安全市场未来五年将继续维持高增速发展。根据赛迪咨询数据测算,2021年我国数据安全市场规模为69.7亿元,预测在2023年我国数据安全市场规模将达到127亿元。从实战需求看,日趋严峻的网络安全威胁让企业面临业务风险,数字产业化迫切需要数据安全能力,而产业数字化转型带来数据安全新需求。当前,我国数据安全产业处于起步期,相比于西方发达国家,我国尚有很大增长潜力,这既是短板也是市场机会。随着实战化和新合规的要求逐步深入,数据安全将迎来广阔的市场空间。
1.3. 数据处理伴生着安全威胁风险
数据这种新型生产要素,是实现业务价值的主要载体,数据处理必然要求数据在应用系统中流动,而流动的数据必然伴随风险。可以说,数据安全威胁时刻伴随业务生产。结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。从时间维度看,数据在流转的全生命周期中的各个环节都会有相应的安全需求。从空间维度看,数据在基础设施层、平台层以及应用层之间流转,不同层次会有不同颗粒度的防护需求。《数据安全法》提出“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等”,为数据生命周期的各环节提供了明确定义,数据在各环节均面临诸多泄露威胁与安全挑战。
1.1.1. 数据收集风险
在数据收集环节,风险威胁涵盖保密性威胁、完整性威胁等,以及超范围采集用户信息等。保密性威胁指攻击者通过建立隐蔽隧道,对信息流向、流量、通信频度和长度等参数的分析,窃取敏感的、有价值的信息;完整性威胁指数据伪造、刻意篡改、数据与元数据的错位、源数据存在破坏完整性的恶意代码。
(1)国内
某程集团因涉嫌违规采集个人信息被诉至法院
司法机关:浙江省绍兴市柯桥区人民法院
案例描述:2021年7月,浙江省绍兴市柯桥区人民法院开庭审理了胡某诉上海某程集团侵权纠纷案件。胡某以上海某程集团采集其个人非必要信息,进行“大数据杀熟”等为由诉至法院,要求某程集团APP为其增加不同意“服务协议”和“隐私政策”时仍可继续使用的选项。法院审理后认为,某程集团的“服务协议”和“隐私政策”以拒绝提供服务形成对用户的强制。其中,“服务协议”和“隐私政策”要求用户特别授权某程集团及其关联公司、业务合作伙伴共享用户的注册信息、交易、支付数据并允许某程集团及其关联公司、业务合作伙伴对其信息进行数据分析等内容属于非必要信息的采集和使用,无限加重了用户个人信息使用风险。据此,法院判决某程集团应为原告增加不同意其现有“服务协议”和“隐私政策”仍可继续使用的选项,或者为原告修订“服务协议”和“隐私政策”,去除对用户非必要信息采集和使用的相关内容,修订版本须经法院审定同意。
(2)国外
ZOOM因涉嫌非法泄漏个人数据而被起诉
法律依据:《加州消费者隐私法》
案例描述:根据2020年4月在加利福尼亚州圣何塞市联邦法院提起的诉讼,用户安装或打开Zoom应用程序时收集信息,并在没有适当通知的情况下将其共享给包括Facebook在内的第三方。Zoom的隐私权政策并未向用户说明其应用程序包含向Facebook和潜在的其他第三方披露信息的代码。投诉称,该公司的“程序设计和安全措施完全不足,并将继续导致未经授权而泄露其用户个人信息”。根据《加州消费者隐私法》规定,任何消费者如其在第1798.81.5节(d)条(1)款(A)项下所定义的未加密和未经处理的个人信息,由于企业违反义务而未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息,从而遭受了未经授权的访问和泄露、盗窃或披露,则消费者可提起民事诉讼并请求。为每个消费者每次事件赔偿不少于一百美元(100美元)且不超过七百五十美元(750美元)的损害赔偿金或实际损害赔偿金,以数额较大者为准。
1.1.2. 数据存储风险
在数据存储环节,风险威胁来自外部因素、内部因素、数据库系统安全等。外部因素包括黑客脱库、数据库后门、挖矿木马、数据库勒索、恶意篡改等,内部因素包括内部人员窃取、不同利益方对数据的超权限使用、弱口令配置、离线暴力破解、错误配置等;数据库系统安全包括数据库软件漏洞和应用程序逻辑漏洞,如:SQL注入、提权、缓冲区溢出;存储设备丢失等其他情况。
(1)国内
某东电商平台确认12G用户数据泄漏
案例描述:2016年2月,国内媒体一本财经报道称一个超过12G的数据包正在黑市流通,数据包信息包括用户名、密码、真实姓名、身份证号、电话号码、QQ号、邮箱等多类个人用户信息。这个数据包已在黑市上明码交易,价格在10万-70万不等,黑市买卖双方表示该数据包来源为某电商平台。某东电商平台表示,黑客利用了Struts 2的漏洞对某电商平台数据库进行了拖库。
(2)国外
Facebook证实4.19亿用户的电话信息被泄露
案例描述:2019年9月Facebook证实,存储了超4亿条与Facebook账户关联的电话号码数据库被曝光,每条记录都包含一个用户的Facebook ID和连接到他们账户的电话号码。同样,2018年3月“剑桥分析丑闻”首次被曝光——Facebook8700万用户数据泄露,一家名为剑桥分析的公司通过这些数据影响了美国选举。最终,美国联邦贸易委员会(FTC)宣布与Facebook就该事件达成一项50亿美元的和解协议。
1.1.3. 数据使用风险
在数据使用环节,风险威胁来自于外部因素、内部因素、系统安全等。外部因素包括账户劫持、APT攻击、身份伪装、认证失效、密钥丢失、漏洞攻击、木马注入等;内部因素包括内部人员、DBA违规操作窃取、滥用、泄露数据等,如:非授权访问敏感数据、非工作时间、工作场所访问核心业务表、高危指令操作;系统安全包括不严格的权限访问、多源异构数据集成中隐私泄露等。
(1)国内
湖南某银行257万条公民银行个人信息被泄露
执法机构:绵阳市公安局网络安全保卫支队
法律依据:《刑法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
案例描述:湖南某银行支行行长,出售自己的查询账号给中间商,再由中间商将账号卖给有银行关系的“出单渠道”团伙,再由另外一家银行的员工进入内网系统,大肆窃取个人信息,泄漏的个人信息包括征信报告、账户明细、余额等。2016年10月,绵阳警方破获公安部挂牌督办的“5·26侵犯公民个人信息案”,抓获包括银行管理层在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元。根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法规定的“提供公民个人信息”;第四条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法规定的“以其他方法非法获取公民个人信息”。根据《刑法》的相关规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
(2) 国外
伟易达被曝480万家长及儿童信息泄露来源
法律依据:《美国儿童网络隐私保护法COPPA》
案例描述:2015年,全球最大的婴幼儿及学前电子学习产品企业伟易达,被曝出其存在安全漏洞,致使数百万家长和儿童的数据曝光,包括家长注册账号使用的姓名、住址、邮件、密码等。2018年,美国联邦贸易委员会(FTC)宣布对伟易达(VTech)2015年因安全漏洞导致数百万家长及孩子的数据泄露事件进行处罚,宣布处以65万美元的罚款。《美国儿童网络隐私保护法COPPA》规定,运营者需建立并维护合理的措施以保护儿童个人信息的保密、安全和完整性。采取合作的措施保证仅向有能力保护儿童个人信息的保密、安全和完整性并为其提供保障的服务提供商和第三方披露儿童个人信息。
作为对照,我国《个人信息保护法》规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
1.1.4. 数据加工风险
在数据加工环节,泄露风险主要是由分类分级不当、数据脱敏质量较低、恶意篡改/误操作等情况所导致。
(1)国内
某集团80万用户数据被删除
案例描述:2017年,因某为公司误操作导致某集团80万用户数据丢,此次故障影响面非常大,涉及到钦州、北海、防城港、桂林、梧州、贺州等地用户,属于重大通信事故。事故发生后,某集团已经发布声明承认故障影响,技术人员也已经展开紧急维修。有消息称因为此次事故,某为公司已经被某集团处以5亿罚款,同时某集团已经展开全国范围的系统大排查,主要针对某技术公司第三方代维隐患问题。
(2)国外
1)代码资源托管网站运维人员误删300G数据
案例描述:2017年,著名代码资源托管网站Gitlab.com的一位工程师在维护数据时不慎删除约300GB的数据。本次事故也影响到了约5000个项目,5000个评论和700个新用户账户。
1.1.5. 数据传输风险
在数据传输环节,数据泄露主要包括网络攻击、传输泄露等风险。网络攻击包括DDoS攻击、APT攻击、通信流量劫持、中间人攻击、DNS欺骗和IP欺骗、泛洪攻击威胁等;传输泄露包括电磁泄漏或搭线窃听、传输协议漏洞、未授权身份人员登录系统、无线网安全薄弱等。
(1)国内
1)“某智华胜”涉嫌非法窃取用户信息30亿条
案号:(2019)浙0602刑初1143号
法律依据:《中华人民共和国刑法》第二百八十五条、第二十五条第一款、第二十七条、第六十七条第三款、第七十二条第一、三款;《中华人民共和国刑事诉讼法》第十五条、第二百零一条
司法机关:浙江省绍兴市越城区人民法院
案例描述:邢某于2013年5月在北京成立某智华胜。某智华胜通过邢某成立的其他关联公司与运营商签订精准广告营销协议,获取运营商服务器登录许可,并通过部署SD程序,从运营商服务器抓取采集网络用户的登录cookie数据,并将上述数据保存在运营商redis数据库中,利用研发的爬虫软件、加粉软件,远程访问redis数据库中的数据,非法登录网络用户的淘宝、某博等账号,进行强制加粉、订单爬取等行为,从中牟利。案发前,某智华胜发现淘宝网在调查订单被爬的情况,遂将服务器数据删除。经查,2018年4月17-18日期间,某智华胜爬取淘宝订单共计22万余条(浙江淘宝网络有限公司实际输出1万条),向指定加粉淘宝账号恶意加淘好友共计13.7万余个(浙江淘宝网络有限公司实际输出2万个)。最终判决被告人王某犯非法获取计算机信息系统数据罪,判处有期徒刑二年,缓刑二年六个月,并处罚金人民币六万元。
(2) 国外
1)南非大规模数据泄露事件3160万份南非公民数据被泄漏
案例描述:2017年,南非史上规模最大的数据泄露事件——共有3160万份用户的个人资料被公之于众,连总统祖马和多位部长都未能幸免。泄漏信息包括身份号码、个人收入、年龄,甚至就业历史、公司董事身份、种族群体、婚姻状况、职业、雇主和家庭地址等敏感信息。此次被黑客公布的数据来源于 Dracore Data Sciences 企业的 GoVault 平台,其公司客户包括南非最大的金融信贷机构——TransUnion。
1.1.6. 数据提供风险
在数据提供环节,风险威胁来自于政策因素、外部因素、内部因素等。政策因素主要指不合规地提供和共享;内部因素指缺乏数据拷贝的使用管控和终端审计、行为抵赖、数据发送错误、非授权隐私泄露/修改、第三方过失而造成数据泄露;外部因素指恶意程序入侵、病毒侵扰、网络宽带被盗用等情况。
(1)国内
脱口秀演员交易流水遭泄露,某银行被罚450万元
执法机构:中国银行保险监督管理委员会
法律依据:《中华人民共和国银行业监督管理法》第二十一条、第四十六条和相关审慎经营规则《中华人民共和国商业银行法》第七十三条
案例描述:2020年5月6日,脱口秀演员池子(本名王越池)通过新浪微博控诉某银行上海虹口支行在未经其授权的情况下,私自将其个人账户流水提供给上海笑果文化传媒有限公司。王越池认为,某银行的这一行为侵犯了其合法权益,要求某银行赔偿损失,并公开道歉。同时,王越池还表示,某银行方面对此作出的回应为“配合大客户的要求”。对于举报,某银行也曾在官方微博公开发布致歉信称,该行员工未严格按规定办理,向笑果文化提供收款记录;某银行已按制度规定对相关员工予以处分,并对支行行长予以撤职。2021年3月19日,银保监会消保局公布的罚单信息显示,某银行因涉及客户信息保护体制机制不健全、客户信息收集环节管理不规范等四项违法违规行为,被处罚款450万元。
1.1.7. 数据公开风险
在数据公开环节,泄露风险主要是很多数据在未经过严格保密审查、未进行泄密隐患风险评估,或者未意识到数据情报价值或涉及公民隐私的情况下随意发布的情况。
(1)国内
微信朋友圈中流传着某医院数千人名单
执法机构:胶州市公安局
法律依据:《中华人民共和国治安管理处罚法》第二十九条
案例描述:2020年4月13日,微信群里出现某医院出入人员名单信息,内容涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息,造成了不良社会影响。依据《中华人民共和国治安管理处罚法》第二十九条规定,有下列行为之一的,处5日以下拘留;情节较重的,处5日以上10日以下拘留:违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的。公安机关依法对叶某、姜某、张某给予行政拘留的处罚。
(剩余内容请关注本公众号“CipherGateway”,回复“炼石就是数据安全005”,下载完整版《2021密码应用技术白皮书》PDF高清文件)
京ICP备16012549号 Copyright © CipherGateway. 版权所有
